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形式 的 検証 技術 の 現状 と 今後 の 動向 


この 連載 で は , シス テム LSI を 中 心 と し た ハー ドウ ェ ア 設 計 検 
証 を 形式 的 に 行う 手法 に つい て 解説 し て きま し た . 連載 の 最後 
に , 形式 的 検証 技術 の 現状 と 今後 の 動向 に つい て , いく つか の 
観点 か ら , 個人 的 視点 も 含め て 説明 し ます . (筆者 ) 


理 式 の 計算 機 上 に お ける 取り 扱い に 関す る 技術 は , 近 
年 大 きく 進歩 し て いま す . そし て それ に 関連 し て , 形式 的 
検証 技術 が 適用 で きる 範囲 が 広がり つつ あり ます . ここ で 
は その 状況 ,。 な ら び に 仕様 記述 法 の 動向 な ど を 中 心 に 解説 
し ます 。. 

0。 ご く 簡単 に まとめ る と , 形式 的 検証 ツー ル や 手法 

よ , 誰 で も 使え る と いう 段階 で は あり ませ ん . 依然 と し て 
「 よく 分 か っ て いる 人 が 賢く 使え ば , 非常 に 強力 な ツー ル 
で ある 」 と いう 事実 は 変化 し て いま せん . し か し , 技術 の 


に 0 


与え られ た 和 積 形 論理 求 CNF formula) 7 : 
@ 変数 の 集合 (z ヵ c) 較 
@ 項 clause) の 積 凶 ( on, Cs Cs) 較 


@ 項 : リテラ ル literals: 変数 か その 否定 ) の 和 


すべ て の 項 の 少な く と も 一 つの リテラ ル を 1 と する よう な 図 
変数 値 の 組み 合わ せ が 存 在 す る か ? 凶 


例 : ( Z+p+cX g+cX g+p+c) 較 =c=1 
ペーーーー ペ ーー ペー ムー ンー 


図 1 SA 論理 関数 の 充足 可能 性 判定 ) 問題 
通常 は 積 和 表 conjunctive normal form : CNF) で 表現 され た 論理 式 全 体 を 
1 と する よう な 変数 の 値 の 組み 合わ せ が 存 在 す る か 否 か を 判定 する 問題 . 


KeyWor 検証 IP 


中 


藤田 目 


進歩 は 確実 に 進ん で いる こと , そし て 仕様 記述 言語 の 標準 
化 が 大 きく 進ん だ こと , それ に ツー ル の 使い 方 に 関す る 解 
説 も 増え て いる こと か ら , 以前 より , 賢く 使っ て いる 人 が 
増え て いる こと は 事実 で す . いく つか の 技術 的 分 野 で 大 き 
な 進歩 も あり , シス テム ・ レ ベル 設計 な ど , 高位 設計 支援 
技術 の 導入 が 進む で あろ う 今後 が 楽し み で ある と いえ ます . 
以下 で は , いく つか の 観点 か ら 現状 と 今後 に つい て 解説 し 
ま 9 


1 )SAT 手 法 は 近年 , 大 きく 進歩 し て いる 


形式 的 検証 に 関す る 基盤 技術 の 中 で , 近年 も っ と も 研究 
が 進み , 結果 と し て ツー ル の 性 能 が 飛躍 的 に 向上 し て いる 
も の に , 論理 関数 の 充足 可能 怪 satisfiabihty ) 判定 手法 , 
いわ ゆる SAT 手法 が あり ます . 


マン 


@ SAT 問題 を 解く SAT ソル バ 

SAT 問題 論理 関数 の 充足 可能 性 判定 問題 ) と は , 図 1 
に 示す よう に , 通常 は 積 穫 conjunctive normal form : 
CNF) で 表現 され た 論理 式 全体 を 1] と する よう な 変数 の 値 
の 組み 合わ せ が 存 在 する か 否 か を 判定 する 問題 で す . 問題 
の 難し さ の 観点 か ら は , NP 完 釜 NP-complete) に な り ま 
す . つま り , 論理 変数 の 数 に 対し て , 最悪 の 場合 , 処理 に 
指数 的 な 時 間 が 必要 と な る と 考え られ て いま す . 

形式 的 検証 手法 の 多く の 問題 は , いく つか の 変換 を 行う 

に より , SAT 問題 に 変換 で きる こと が 分 か っ て いま 

す . この た め , SAT 問題 と 解く ツー ル で ある SAT ソル バ 


d 形式 的 検証 , SAT 手法 。 モ デル ・ チ ェ ッ キン グ , Bounded 解 析 , 等 価 性 検証 , 仕様 記述 手法 。 PSL, SVA, 
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は 形式 的 検証 手法 に と っ て , 非常 に 重要 な 要素 技術 と な っ 
て いま す 。 


@ SAT 手法 で 扱え る 変数 の 数 が 女 激 に 増大 
SAT 問題 に 対す る 基本 的 な アル ゴリ ズム と し て は , 

DPLL アル ゴリ ズム が 1960 年 代 に 考案 され まし た . そし て 

それ 以降 , さま ざま な 改良 が な され て きま し た が , 1990 年 

代 ま で は , 扱え る 論理 変数 の 数 は それ ほど 大 きく な ら ず , 

結果 と し て 形式 的 検証 分 野 か ら の 興味 は , それ ほど 大 きく 

あり ませ ん で し た . 

し か し , 図 2 に 示す よう に , 2000 年 辺り を 境 と し て , 扱 
える 変数 の 数 が 急激 に 増大 し まし た . 図 で は , 横 軸 が 年 代 
で あり , 縦 軸 は 扱え る 変数 の 数 を 示し て いま す . 問題 の 難 
し さ は , 扱え る 変数 の 数 に 対し て 指数 的 に 増大 する は ず で 
す . に も か か わら ず , 図 2 の グラ フ で は , 年 代 に 対し て 扱 
える 変数 の 数 が あたかも 指数 的 に 増大 し て いる の で は な い 
か と 思わ れる くら い に な っ て いる 点 に 注意 する 必要 が あり 
ます . これ は , 計算 機 科学 的 な 常識 で は あり えな い 事 が 起 
こっ て いる こと に な り ま す . 

実際 に は , 以下 で 示す よう な 改良 が 1990 年 代 後半 か ら 行 
われ 始め た た めで す . これ が 現在 まで 続い て いる 結果 と し 
て , 図 2 に 示す よう な 規模 の SAT 問題 を 解く こと の で きる 
SAT ソ ル バ が 開発 され て いま す . 

e 基本 アル ゴリ ズム は 変数 の 場合 分 け を 繰り 返し , 途中 で 
矛盾 が 生じ た ら ほ か の 場合 を 総 当 た り 的 に 調べ る と いう 
こと で ある が , 一 度 矛盾 が 生じ た 場合 に その 原因 を 特定 
し , 同じ よう な 矛盾 に 対す る 解析 を 二度と し な いよ うに 
改良 し た . 

e 変数 の 値 が 部 分 的 に 決ま っ た 際 の 影響 び ほ か に も 伝播 す 
る こと を 計算 する アル ゴリ ズム を 大 きく 改良 し た . 

e 実際 の プロ グラ ム と し て 性 能 向 上 を 図る ため に , キャ ッ 


100000 


6 
1960 1970 1980 東 9 2000 2010 
年 


図 2 SAT 手 法 が 急速 に 進歩 
2000 年 辺り を 境 と し て , 扱え る 変数 の 数 が 急激 に 増大 し た . 
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シュ ・ ヒ ッ ト 率 な ども 考慮 し て デー タ 構造 や 処理 アル ゴ 

リズ ム を チュ ー ニ ング し た . 

e 変数 の 場合 分 け 順 の 決定 アル ゴリ ズム に 

を 施し た . 

SAT ソ ル バ に 対す る コン テス ト が 毎年 開催 され て いま 
す . この コン テス ト で は , 前 年 度 の 優勝 ツー ル そ の まま で 
は 次 年 度 に 入賞 すら も できません. SAT ソ ル バ に つい て は , 
この よう な 速い ペー ス の 性 能 改 善 が 今 で も 続い て いま す . 
結果 と し て , 現状 で , 数 百 万 変数 か ら な る 論理 式 の 充足 可 
能 性 判定 を 数 時 間 で 行え を る まで に な っ て いま す . 

理 式 を 計算 機 で 扱う た め の 技 術 と し て , 2 分 決定 グラ フ 
( BDD : binary decision diagram) が あり ます . し か し 

BDD で は 数 百 変数 の 論理 式 を 扱う の が 限度 で す . この こと 

を 考え る と , SAT ソル バ の 性 能 は 驚異 的 で ある と 言え ます . 


さま ざま な 工夫 


己 山 


念 SAT ソル バ で は 10 万 ゲー ト 程 度 ま で 扱え る 

順序 回 路 の 検証 の 場合 , 問題 の 複雑 さと いう 観点 か ら は 
回 路 中 の ゲー ト 数 と 順序 回 路 を 時 間 軸 方 向 に 何 サ イク ル 解 
析 す る か と いう こと か ら 議 論 で きま す . 

今 , 10 万 ゲー ト の 回 路 が あっ た と し ます . それ を 10 サ 
イク ル 解 析 す る 問題 を SAT 問題 に 変換 する と , ( 10 万 X 10 
サイ クル メ 各 ゲ ー ト の 入出 力 数 ) だ け 変 数 が 現れ , 数 百 万 
変数 が 必要 に な り ま す . 現状 の SAT ソ ル バ の 性 能 は それ 
くら い が 限 界 で ある た め , その 意味 で , 10 万 ゲー ト 程度 ま 
で 扱え る こと に な り ま す . 

生生 0 

は 少し 小さ いか も し れ ま せん . し か し , 設計 を いく つか 

に 分 けれ ば , 検証 で きる こと を 意味 し て いま す . 今後 も 
SAT ソル バ の 進歩 は 続く と 考え られ る こと を 考慮 する と , 
SAT 手法 に よる 形式 的 検証 は 実用 段階 に 入っ て いる と 言え 
る で し よう 。 

商用 の モデ ル ・ チ ェ ッ キン グ ・ ツ ー ル な ど で も , SAT ソ 
ル バ が 内 蔵 さ れ て いる の が 普通 で す . そし て , 最近 の 進歩 
が その まま 取り 込ま れる こと も 多く な っ て いま す . 

また , 高位 設計 検証 で は , 扱う 変数 が 整数 型 な ど 論理 変 
数 に 分 解 し た く な い 場 合 が あり ます . その よう な 整数 変数 
を 含む 論理 式 の ある 範囲 の も の は , 一 定 の 自動 変換 に よ 
て , SAT 問題 に 帰着 する 場合 も 多く あり ます . 高位 設計 検 
証 ツ ー ル で は , その よう な 変換 も 利用 し な が ら , SAT ソ ル 
バ が 効果 的 に 利用 され て いま す . 

な お , 最新 の ソル バ も 含め て , 多く の SAT ソル バ は , パ 


K ス テッ プ の 


本 検証 技術 入門 | 


M を 図 回 , 時 間 軸 方 向 に 展開 図 


ラ 
Bounded モデ ル ・ チ ェ ッ 時 Js CcD 引 馬立 

ッッ グ 王 ミ 1 1 k ソル バ 区 
キン グ 手 法 No Counter-example 
( a) の よう に , 順序 回 路 を 設 UNSAT ヽ 、within k steps 
PVR Poi 本 e 等 価 性 検証 も 同じ よう に 定式 化 可能 

し 弄 ー ゆる 

象 と する . ( a) 設計 を 時 間 軸 上 で 一 定 回 数 展開 し て 処理 図 ( b) BMC を SAT 問 題 と し て 定式 化 較 


ブリ ッ ク ・ ド メイ ン の ツー ル と し て , Web か ら ダ ウン ロー 
ド で きる も の が た くさ ん あり ます . そこ で , 扱う 問題 に 合 
わせ て 自分 で SAT ソル バ を 改良 し て 利用 する こと を 行っ 
て いる グル ー プ も 数 多く あり ます . 非常 に 高度 な 使い 方 で 
す が , 自分 で 検証 ツー ル を 改良 し な が ら 使う こと が で きる 
環境 で は , 価値 は 非常 に 高く な り ま す . 


/ 2 ) モデ ル ・ チ ェ ッ キ ング 技術 の 
現状 と 動向 


ジン 


モデ ル ・ チ ェ ッ キン グ の 基本 アル ゴリ ズム は , 1980 年 代 
初め に 提案 され まし た . その 後 さ ま ざ ま な 改良 が 加え られ , 
現在 で は ハー ド ウェ ア 設 計 用 モデ ル ・ チ ェ ッ キン グ ・ ツ ー 
ル と し て , 数 社 か ら 提 供 さ れ て いま す . それ ら の ツー ル は 
昌 は か な り 異な る と 考え られ ます が , 基本 的 な アル ゴリ 

ム は 共通 部 分 が 多い と いえ ます . 

近年 の SAT ソ ル バ の 性 能 向 上 の 結果 が その まま 現れ る 
形 で , モデ ル ・ チ ェ ッ キン グ ・ ツ ー ル が 扱え る 設計 規模 も 
増大 し て いま す . 10 万 ゲー ト 規模 の 設計 が 検証 可能 と な っ 
て お り , 将来 的 に は より 大 規模 な 回 路 の 検証 も 行え る と 考 
えら れ ま す . 


@ 順序 回 路 は 指定 し た 回 数 だ け 展 開 す る 

ここ で 少し 注意 すべ きこ と と し て 。 デル ・ チェ エッ キン 
グ の 際 , 設計 を 何 サ イク ル の 範囲 で 解析 する 必要 が ある か 
と いう 点 が あり ます . 

設計 を 網羅 的 に カバ ー す る に は , すべ て の 状態 遷移 が ル 

ー プ に な る まで 回 路 を 解析 し 続け る ( この こと を 一 般 に 
fixed point 計算 と 呼ぶ ) 必要 が あり ます . し か し これ で は 
回 路 に よっ て は 非常 に 多数 の サイ クル に 渡っ て 解析 し な け 


れ ば な ら な いこ と に な り ま す . 
一 般 に SAT ソル バ を 利用 する 場合 に は , 数 学 的 帰納 法 
を 利用 し て fixed point 計算 と 等 価 な こと を 行う の も 技術 的 


に は 可能 で す . し か し この 場合 , 扱え る 回 路 規模 が 小さ く 
な っ て し まう と いう 問題 が あり ます . 

そこ で 現状 で は , 図 3 に 示す よう に, 順序 回 路 を 設計 者 
が 指定 し た 回 数 だ け 時 間 軸 上 に 展開 し た 回 路 を 検証 対象 と 
する Bounded モデ ル ・ チ ェ ッ キン グ 手 法 が 広く 利用 され て 
いま す . この よう に 順序 回 路 を 時 間 軸 上 で 展開 すれ ば , 結 
果 と し て は , 元 の 順序 回 路 中 の 組み 合わ せ 回 路 が 展開 し た 
回 数 だ け 増 大 し た 組み 合わ せ 回 路 と な り ま す . 従っ て , そ 
の モデ ル ・ チ ェ ッ キン グ は SAT 問題 と し て その まま 定式 
化 で きま す . 結果 と し て 高 性 能 SAT ソ ル バ を 適用 し , 比 
較 的 大 規模 設計 に 対す る モデ ル ・ チ ェ ッ キン グ が 行え る こ 

と に な り ま す . 

逆 に 言う と , 展開 し た 回 数 を 超え る よう な 解析 は 一 切 し 
て いな いわ け で す . も し 時 に 対す る 反 例 が その 回 数 を 超 
える も の し か 存在 し な い 場 合 に は , 決し て 見 つか ら な いこ 

と に な り ま す . 


回 


人 @ 設計 を 抽象 化す る 手法 の 研究 が 進む 

そこ で , まず 与え られ た 設計 の 抽象 化 を 行い, その 抽象 
化 さ れ た も の に 対し て 通常 の モデ ル ・ チ ェ ッ キン グ を 行う 
手法 に つい て の 研究 が 進め られ て いま す . これ は 一 部 の 商 
用 ツー ル に も 導入 され つつ あり ます . 

ここ で 言う 設計 の 抽象 化 と は , 最も 単純 に は , 元 の 設計 
の 複数 の 状態 を 一 つ に まとめ る 処理 の こと で す . 抽象 化 さ 
れ た 設計 の 状態 数 が 小さ く な る た め , 抽象 化 を どん どん 進 
め れ ば , 必ず いつ か は モデ ル ・ チ ェ ッ キン グ が 可能 と な り 
まず 。 
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し か し , 単純 に 状態 を まとめ た だ け で は , 嘘 の 反 例 が 生 
成 さ れる こと が あり ます . これ は , 抽象 化 さ れ た 設計 は 正 
し く な い が , 元 の 設計 は 正しい 場合 に 相当 し , 抽象 化 さ れ 
た 設計 に 対す る 反 例 に 対応 する 実行 シー ケン ス が 元 の 設計 
に な いこ と を 意味 し ます . この よう な 場合 に は , その 反 例 
が 反 例 で は な く な る よう に 設計 抽象 化 処理 の 改良 が 行わ れ 
ます 、 

この 改良 を 自動 的 に 行う 手法 に 関す る 研究 が 現在 活発 に 
行わ れ て いま す . また , その 中 で も SAT 手法 が 利用 され 
て いま す . つま り , SAT ソル バ の 改良 に 伴い , 設計 抽象 化 
の 自動 改良 手法 の 性 能 の 向上 も 期待 で きる わけ で す . 


⑯ ソフ トウ ェ ア に 対す る 手法 の ハー ド へ の 適用 に 期待 
ソフ ト ウェ ア に 対す る モデ ル ・ チ ェ ッ キン グ 手 法 の 研究 
も 進ん で いま す . 

JAXA 言語 や C 系 言語 に 対す る モデ ル ・ チェ ッ カ が 研究 
ツー ル と し て 公開 され て いま す . また , 実用 規模 の ソフ ト 
ウェ ア の 検証 を 行っ た 例 も 報告 され る よう に な っ て いま す . 

例え ば , Linux の カー ネル ・ コ ー ド ( 400 万 行程 度 ) の モ 
デル ・ チ ェ ッ キン グ を 行い , 実際 に いつ く か の バグ を 発見 
し た と いう 報告 が あり ます . これ は , 上 で 述べ た プロ グラ 
ム 記 述 の 抽象 化 を 施し た 上 で , SAT ソル バ で 検証 し た も の 
で す . 数 十 台 の ワー クス テー ショ ン で 並列 処理 を 行う こと 
に より , 数 時 間 で 検証 し て いま す . これ は , SAT ソル バ の 
性 能 を 最大 限 に 生か し た も の で ある と 言え る で し ょ う . 

ソフ ト ウェ ア 開 発 で は , プロ グラ ム ・ コ ー ド を ルー ル ・ 
ベー ス 的 に 判定 する LINT ツー ル も よく 利用 され て いま す . 
し か し , ルー ル を 詳細 化し た り , モデ ル ・ チ ェ ッ キン グ の 
アイ デア を 利用 する こと で , より 詳細 な 検証 を 行う 手法 に 
つい て も 研究 開発 が 進め られ て いま す . 

ソフ トウ ェ ア に 対す る 検証 ツー ル は , 一 般 に C 言 語系 が 
扱え る た め , C ベ ー ス 言語 に よる ハー ド ウェア 設計 で 利用 
する こと も 考え られ ます . この 種 の ツー ル で は , 設計 記述 
と し て 好ま し く な い パ ター ン を ルー ル の 形 で 定義 し , その 
パタ ー ン に ヒッ ト する コー ド を 効率 良く 探す こと で 検証 し 
て いま す . ルー ル に は ユー ザ が 定義 で きる も の も あり , ハ 
ー ド ウェ ア 高 位 設 計 用 の も の も 開発 可能 で す . 

今後 , 高位 設計 支援 が 進む に つれ , この よう な 考え に 存 
づく ツー ル も 利用 が 進む と 考え られ ます . 
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( 3 ) 等 価 性 検証 技術 の 現状 と 動向 


組み 合わ せ 回 路 同 士 の 等 価 性 検証 に つい て は , 2000 年 ご 
ろか ら , 既に 実用 ツー ル と し て 広く 利用 され て いま す . 

等 価 性 を 比較 したい 二 つ の 順序 回 路 に つい て , フリ ッ プ 
フロ ッ プ の 対応 が 分 か っ て いる 場合 に 相当 し ます . テー プ 
アウ ト する 設計 と , シミ ュ レ ーション な ど で し っ か り 検証 
され た 回 路 と の 比較 を 最後 に 行う と いう 使わ れ 方 が よく あ 
り ま す . 


@ 組み 合わ せ 回 路 の 等 価 性 検証 は すでに 実用 レベ ル 

この よう な 組み 合わ せ 回 路 用 の 等 価 性 検証 ツー ル で は , 
比較 し て いる 二 つ の 回 路 ど うし ば 近く 」, 内 部 に 互い に 等 
価 で ある 点 が 多数 存在 する と いう 場合 に は 極め て 強力 で す . 
1000 万 ゲー ト を 越え る 設計 同士 の 等 価 性 も 数 時 間 で 判定 で 
きる よう に な っ て いま す . これ は , 回 路 全体 に 対す る 等 
性 問題 を 内 部 等 価 点 で 分 割 し , 分 割 さ れ た 各部 分 回 路 同士 
の 等 価 性 判定 を 繰り 返す こと で 解い て いる か ら で す . 回 路 
規模 が 増大 し て も 内 部 等 価 点 が 多数 ある 限り , 検証 時 間 の 
増大 も ある 程度 抑え られ る の で す . 

一 方 , も し 内 部 等 価 点 が 少数 し か な い 場 合 に は , 数 十 万 
ゲー ト 規模 で も 検証 で き な い こと も あり ます . 内 部 回 路 構 
造 が まっ た く 異な る 場合 や , RTI( resister transfer level) 
設計 の 記述 に 多数 の 内 部 ドン ト ・ ケ ア が 存在 する 場合 な ど 
が 相当 し ます . この よう な 場合 に は , 先ほど の SAT ソ ル 
バ を 単純 に 回 路 全 体 に 適用 し て 等 価 性 を 検証 する し か な く , 
扱え る 回 路 規模 は , 基本 的 に SAT ソ ル バ の 性 能 と いう こ 
と に な り ま す . 

この よう に , 組み 合わ せ 回 路 に 対す る 等 
り 実用 的 な ツー ル と な っ て いま す . 


球 


件 検証 は か な 


人 @ 順序 回 路 の 等 価 性 検証 は 比較 的 小さ い 設計 に 限ら れる 

一 方 , 等 価 性 を 比較 し た い 順 序 回 路 同 士 で .。 フ リッ プ フ 
ロッ プ の 対応 が 付か な い 場 合 に は , 組み 合わ せ 回 路 の 等 
性 問題 に 帰着 で き な く な り , 順序 回 路 と し て の 等 価 性 を 直 
接 調べ る 必要 が あり ます . 

C ベ ー ス 言語 な ど に よる 高位 設計 記述 か ら 設計 を 開始 す 
る 場合 に , 上 位 設計 と 下位 設計 の 等 価 性 判定 を 行わ うと す 
る と , 現在 で は 順序 回 路 用 の 等 価 性 判定 ツー ル が 必要 に な 
り ま す . また , RTL か ら 設 計 を 開始 する 場合 で も , 回 路 


| 


の 組み 合わ せ 回 路 を 部 分 的 に フリ ッ プ フロ ッ プ を また いで 
移動 させ る こと で , 回 路 全 体 の タイ ミン グ 調 整 を 行う リタ 
イミ ング と 呼ば れる 手法 を 利用 し て いる 場合 に は , や は り 
組み 合わ せ 回 路 用 の 等 価 性 判定 ツー ル で は 扱え な く な り , 
順序 回 路 用 の 等 価 性 判定 ツー ル を 利用 する こと に な り ま す . 

順序 回 路 用 の 等 価 性 検証 で も , モデ ル ・ チ ェ ッ キン グ と 
同じ よう に , 初期 状態 か ら す べ て の 状態 を 網羅 する まで 状 
態 遷 移 を 解析 する fixed point 解析 と , 一 定 サ イク ル 数 し か 
解析 し な い Bounded 解析 に 分 ける こと が で きま す . fixed 
point 解析 が 可能 と な る の は , モデ ル ・ チ ェ ッ キン グ と 同 
じ で , 一 定規 模 以下 の 比較 的 小さ い 設計 に 限ら れ て し まい 
ます . そこ で , 実用 的 に は Bounded 解 析 が 広く 利用 され 
て いま す . 

な お , 等 価 性 検証 の 場合 , 二 つ の 設計 を 比較 する こと に 
な る の で , 検証 ツー ル が 扱わ な けれ ば な ら な い 規 模 は , 2 
倍 に な る こと に も 注意 が 必要 で す . 


人 @ 順序 回 路 の 等 価 性 の 意味 に 注意 

順序 回 路 の 等 価 性 検証 で , まず 注意 す ベ きこ と は , 等 価 
と は どう いう こと か と いう こと で す . 

組み 合わ せ 回 路 の 場合 に は , 現在 の 入力 が 決ま れ ば , 出 
力 が 決定 する た め , 等 価 性 の 定義 は 自明 で し た . し か し , 
順序 回 路 の 場合 に は , 入力 を 受け 取る タイ ミン グ と , 出力 
が 送出 され る タイ ミン グ は 各 設 計 で 異な る の が 普通 で す . 
従っ て , その よう な タイ ミン グ も 含め た 等 価 性 の 定義 を 設 
計 者 が 行う 必要 が あり ます . これ は , 場合 に よっ て は か な 
り 複雑 で , 等 価 性 の 定義 に 誤り が ある と いう 場合 も 決し て 
な く は な いと いう こと を 注意 する 必要 が あり ます . 

等 価 性 検証 で あれ , モデ ル ・ チ ェ ッ キン グ で あれ , 
Bounded 解析 の 場合 は , 例え ば 初期 状態 通常 は . リセ ッ 
ト 状態 ) か ら 一 定 サ イク ル 数 だ け , 等 価 性 を 検証 する こと 
に な り ま す . し か し 回 路 の 性 質 に よっ て は , あま り 意味 が 
な いこ と も あり ます . 

例え ば , キャ ッシュ ・ コ ント ロー ラ を 検証 する こと を 考 
えて み ま す . 初期 状態 で は , キャ ッシュ ・ メ モリ は 一 般 に 
空 で す . 従っ て , 初期 状態 か ら 100 サ イク ル や 1000 サ イク 
ル に つい て 解析 し て 検証 し た と し て も , キャ ッシュ ・ メ モ 
リ が いっ ぱい に な る こと は あり ませ ん . 一 方 , キャ ッ 
シュ ・ コ ント ロー ラ の 設計 に お ける バ 不具 合 ) は , キャ ッ 
シュ が いっ ぱい に な っ た 場合 の 扱い に 関す る こと が 多い 
も の で す . この 意味 で は , Bounded 解析 は あま り 意味 が な 
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図 4 途中 状態 か ら の Bounded 解析 

通常 は 初期 状態 か ら 検証 する が , Bounded 解 析 を 効率 良く 行う に は , 設計 
者 の 指定 し た 状態 か ら 行う 場合 も 多い . この よう な 場合 に は , 指定 し た 状態 
が 意味 の ある 常態 で ある か 否 が つま り , 初期 状態 か ら 到 達 可能 な 状態 に 含 
まれ る か 否 か ) は 設計 者 の 責任 で 行う こと に な る . 


いこ と に な っ て し まい ます . 


⑯ ツー ル の 使い 方 の ノウ ハウ が 重要 

実際 に は , リセ ッ ト 状態 か ら 回 路 を 一 定 サイ クル 解析 す 
る の で は な く , 設計 者 が 指定 し た 状態 か ら 一 定 サ イク ル 解 
析 す る よう な 工夫 を 施し て 利用 する の が 普通 で す . 

この よう な 場合 に は , 図 4 に 示す よう に , 設計 者 が どの 
よう な 状態 か ら 解 析 す る よう に 指定 する か で 意味 の ある 検 
証 が で きる か どう か が 決ま り ま す . 結果 と し て , バグ を 発 
見 で きる か が 大 きく 異な っ て きま す . も し 実際 に は 起こ ら 
な いよ うな 状態 か ら 解析 を 始め る よう に 指定 し て し まう と , 
実際 の 設計 で は 起こ りえ な いよ うな 動作 を 中 心 に 検証 し て 
いる こと に な っ て し まい ます . 逆 に , うま い 状 態 を 指定 で 
きる と , 容易 に バグ を 発見 で きま す . 

どの よう な 状態 を 指定 すべ きか は , 各 設 計 に 大 きく 依存 
し ます . さら に 言う と , 利用 する 検証 ツー ル が 採用 し て い 
る 検証 手法 に も 依存 する た め , 効率 的 な 状態 の 指定 を 行う 
に は , ツー ル ご と の 利用 経験 や トレ ー ニ ング が 必要 に な る 
場合 も あり ます . この よう な , 一 種 の 使い 方 の ノウ ハウ に 
関す る 部 分 も 重要 で ある こと に は 違い な く , いか に 教育 し 
て いく か も 検討 する 必要 が ある と いえ る で し ょ う . 


(4 ) 仕様 記 聞 手 法 の 現状 と 動向 


以前 は , モデ ル ・ チ ェ ッ キン グ ・ ツ ー ル に 与え る 仕様 の 
表現 の 仕方 は , 各 ツ ー ル で まち まち で し た . し か し 最近 は , 
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検証 対象 の 設計 図 


PSL 仕 様 記 述 限 
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eee 


ハー ド ウェ ア に よる 
PSL チ ェ ッ カ 較 


シミ ュ レ ー タ ある い は 較 
形式 的 検証 ツー ル に よる 検証 図 


5 PSL か ら 回 路 を 自動 生成 し て 検証 


与え られ た PSL に よる 仕様 記述 を 自動 的 に 回 路 に 変換 し , その 回 路 と 元 の 
設計 を 同時 に 処理 する こと で , 設計 検証 を 行う . 


PSI( property specification language) や SVA system 
verilog assertion) な どの 標準 化 が 進み , ツー ル に 関係 な く 
同じ 形 で 仕様 を 与え られ る よう に な りつ つ あ り ま す . 


念 仕様 記述 は PSL と SVA が 普及 

PSL と SVA は , 基本 的 に は 同じ も の で ある と 考え られ 
ます . 
SVA は Verilog HDL を 元 に し た 構文 に な っ て いま す . 
PSL は , 同様 の こと を 一 般 的 に 定義 し て いま す . 単なる 生 
理 式 で は な く , 時 間 シ ー ケ ンス を 表現 する た め の 正 規 表現 
の 導入 , 動作 を 表現 する た め の 状 態 乱 移 記述 。 さ ら に モデ 
ル ・ チ ェ ッ カ な ど で 広 く 利用 され て いる 時 相 論 理 temporal 
logic) を 用 いた プロ パテ ィ も 記述 で きる よう に な っ て いま 
す . こ の よう に さま ざま な 工夫 が され た 言語 で ある と いえ ま 
す が , 言い 換え る と 言語 と し て は 非常 に 大 きい も の に な っ 
て いま す . その た め , 言語 全体 を サポ ー ト する 検証 ツー ル の 
開発 は 必ず し も 容易 で は あり ませ ん . 


@ 仕様 記述 を 回 路 に 変換 し て 検証 する 研究 が 進む 

PSL で 表現 され た 仕様 を 回 路 に 変換 し て , シミ ュ レ ー シ ョ 
ン や 形式 的 検証 手法 で 検証 を 行う 手法 も 提案 され て いま す . 

図 5 に 示す よう に, 与え られ た PSL に よる 仕様 記述 を 自 
動 的 に 回 路 に 変換 し , その 回 路 と 元 の 設計 を 同時 に 処理 す 
る こと で , 設計 検証 を 行う も の で す . PSL で は 一 般 的 な 記 
述 が 扱え る た め , 検証 ツー ル に 依存 し な い 検 証 手 法 と し て 
価値 は 高い と 考え られ ます . また , この 手法 を 発展 させ る 
と , PSL の 仕様 記述 か ら 設計 を 自動 生成 で きる 可能 性 も あ 
り ま す . 現在 , いく つか の 例 で 動作 が 確認 され て いる 状況 
で あり , 今後 が 期待 され る 研究 で す . 
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人 @ 検証 IP の 流通 が 始ま る 

一 方 , 仕様 記述 言語 が 標準 化 さ れる と , 仕様 記述 が 商品 
と し て 流通 する よう に な っ て きま す . 例え ば , ARM プロ 
セッ サ の AMBA バス や オン チッ プ ・ バス の 標準 の 一 つ で 
ある OCR open core protocol) な ど に 関す る 仕様 プロ パ 
ティ の 集合 ) は , いく つか の 検証 ベン ダ か ら す で に 供給 さ 
れ て いま す . 

この よう に , 一 般 に 使わ れ て いる も の に 対す る 仕様 は 
既存 の も の を 検証 IR intellectual property) と し て その ま 
ま 利用 する こと が 可能 と な っ て いま す . モデ ル ・ チ ェ ッ キ 
ング の 場合 , 正しい プロ パテ ィ を 作成 する と いう の は 必ず 
人 ませ ん . この た め , この 種 の 検証 
IP は 今後 , さら に 広く 利用 され る と 考え られ ます . 

な い 場 合 で も , 一 つの 設計 プロ ジェ クト 内 
で 多 世 代 に 渡る 設計 に お いて , 検証 IP と し て 鞭 積 ・ 再 利用 
が 進む と 考え られ ます. 

ま - 玉 玉 

以上 , 形式 的 検証 手法 の 技術 動向 に つい て , いく つか の 
観点 か ら 説明 し まし た . 今後 は これ ら の ほか に も , 高位 
設計 手法 と の 関連 に お ける 形式 的 検証 技術 , ハー ド ウェ ア , 
ソフ トウ ェ ア 協 調 設計 に 関す る 形式 的 検証 技術 , さら に , 
ディ ジタル 回 路 だ け で な く , アナ ログ 回 路 も 含め た ミッ ク 
スト ・ シグナル 設計 に 対す る 形式 的 検証 手法 な どの 研究 が 
活発 に 続け られ る と 考え ます . 


ふじ た ・ ま さ ひ ろ 
東京 大 学 大 規模 集積 シス テム 設計 教育 研究 セン ター VDEC) 教授 
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